工业通信网络中的异常检测的制作方法
【专利摘要】安装在工厂通信网络中的异常检测系统检测该通信网络上的业务模式中的非预期变化或异常,以检测被感染或者潜在被感染的节点。该异常检测系统包括布置在网络的各个节点处的数据采集模块,其用于查看进入和离开本节点的消息业务,并生成关于该消息业务的元数据。各个节点处的通信模块向异常分析引擎发送该业务元数据,异常分析引擎使用规则引擎对该元数据进行处理,规则引擎利用逻辑规则集和业务模式基线数据对该元数据进行分析,以判断一个或多个网络节点处的当前业务模式是否异常。如果异常,分析引擎就向用户产生报警或消息以便向用户通知潜在被感染的节点,可以自动地将该节点与网络断开,或者采取某种其它动作来使被感染节点的影响减到最小。
【专利说明】
工业通信网络中的异常检测
技术领域
[0001] 概括地说,本申请设及过程或工业工厂通信系统,具体地说,本申请设及基于工厂 通信网络中的消息业务异常检测来检测控制和维护通信网络(如,在过程和工业控制系统 中使用的那些)的入侵。
【背景技术】
[0002] 诸如分布式或可扩展的过程控制系统(如,发电、化工、石油或者其它制造过程中 使用的那些过程控制系统)之类的过程或工业控制和维护系统通常包括彼此之间通信禪合 的一个或多个控制器,运些控制器经由过程控制网络来通信禪合到至少一个主机或操作者 工作站,经由模拟、数字或组合的模拟/数字总线来通信禪合到一个或多个现场设备。现场 设备(其可W例如是阀口、阀口定位器、开关和发送器(例如,溫度、压力和流速传感器))在 过程或工厂中执行一些功能,例如,打开或关闭阀口,打开和关闭设备,W及测量过程参数。 控制器接收用于指示现场设备所执行的过程或工厂测量值和/或关于该现场设备的其它信 息的信号,使用该信息来实施一个或多个控制例程,随后生成通过该工厂网络的总线或通 信信道来向现场设备发送的控制信号,W控制该过程或工厂的操作。来自于现场设备和控 制器的信息通常经由通信网络而可用于由操作者工作站执行的一个或多个应用,W使操作 者或维护人员关于该过程或工厂执行任何期望的功能,例如,查看工厂的当前状态、改变工 厂的操作、对设备进行校准、检测故障设备等等。
[0003] 在操作期间,过程控制器(其通常位于过程工厂环境之中)根据某种配置方案进行 配置,W便周期地或定期地接收用于指示现场设备所执行的或者与其相关联的过程测量值 或过程变量和/或关于该现场设备的其它信息的信号,并使用该信息来执行控制器应用。进 行过程控制判断的控制器应用实施(例如,不同的控制模块),基于所接收的信息来生成控 制信号,并与在现场设备(例如,HART"和FOUNDATIONK Fiel化US现场设备)中的控 制模块或者控制块进行协调。过程控制器中的控制模块同样根据配置方案,通过通信线路 或者其它信号路径向现场设备发送运些控制信号,从而控制该过程的操作。
[0004] 此外,来自于现场设备和过程控制器的信息通常经由一个或多个安全的过程控制 或维护网络而可用于该工厂之内或之外的一个或多个其它硬件设备,例如,操作工作站、维 护工作站、服务器、个人计算机、手持设备、数据或事件历史库化istorian)、报表生成器、中 央数据库等等。通过过程控制或维护通信网络传输的信息使操作者或维护人员能够关于该 过程执行期望的功能,和/或查看该工厂的操作或该工厂中的设备的操作。例如,该控制信 息能够使操作者改变过程控制例程的设置,修改过程控制器或者智能现场设备中的控制模 块的操作,查看过程的当前状态或者该过程工厂中的特定设备的状态,查看现场设备和过 程控制器所产生的警报和/或报警,模拟该过程的操作W便训练人员或者测试过程控制软 件,诊断该过程工厂中的问题或硬件故障等等。
[0005] 现场设备和控制器通常通过一个或多个安全的过程控制或维护通信网络来与其 它硬件设备进行通信,其中运些过程控制或维护通信网络可W例如实施成具备W太网配置 的LAN。过程控制或维护通信网络通过各种网络设备,向过程控制系统中的各个实体发送过 程参数、网络信息和其它过程控制数据。典型网络设备包括网络接口卡、网络交换机、路由 器、服务器、防火墙、控制器、操作者工作站和数据库。通常,运些网络设备通过控制数据的 路由、帖速率、超时和其它网络参数,但不改变过程数据自身,来促进数据通过网络流动。随 着过程控制网络规模和复杂度的增加,网络设备的数量和类型也相应地增加。作为系统和 网络增长的结果,运些复杂系统中的安全W及其管理变得越来越困难。然而作为开始,运些 网络通常与外部网络相隔离,并通过一个或多个防火墙来防止外部攻击。
[0006] 通常,在典型的工业控制系统中,为了限制该网络被入侵,在该控制系统中的执行 与本工厂相关联的各种功能的外部工厂网络和执行控制和数据获取功能的嵌入的控制设 备(例如,控制器、PLC、RTU)之间,策略性地布置工厂控制系统工作站/服务器。控制工作站/ 服务器的主要安全目标是防止恶意软件进入本控制和维护系统和负面地影响嵌入的设备, W及防止恶意软件改变本工厂过程控制数据库中存储的配置和历史数据。另外,运些工作 站/服务器防止未授权地访问本控制系统,W防止未授权地改变本工厂配置、未授权地访问 工厂数据等等。虽然可W使用诸如防火墙、"防病毒"软件和"白名单"之类的多种安全特征 来解决运些安全目标,但运些安全特征通常是不足够的。例如,防病毒不能预防"零日"病 毒,而白名单只阻止未授权的应用进行运行。此外,运些特征中的一些太具有侵入性,而无 法在过程控制系统中实际操作,运是由于运些安全特征潜在地阻碍工厂操作者的活动。
[0007] 在一般意义上,通常具有权利或权限来访问过程控制网络中的存储器设备、网络 端口或直接数据链路的应用或服务的操作,会经由与外部网络的授权通信连接,将诸如位 于零日攻击的核屯、之类的恶意软件带入到安全的控制系统网络。替代地,还可能通过将被 感染便携式设备和/或介质连接到控制系统设备的本地人员,将恶意软件带入到安全的控 制系统网络中。其后,恶意软件能够传播到其它设备(例如,经由通信),和/或使用变得被该 恶意软件感染的应用或服务的安全权限来在过程控制网络中的设备里进行执行。此外,该 恶意软件可能在本地保存本身,W允许在网络设备重新启动后,再次重新执行。在一些情况 下,恶意软件可能利用正在执行的应用或服务的帐户的权限,升级一个主机(例如,被感染 应用或服务)的权限,运样做,恶意软件能够执行需要更高权限的过程控制设备或网络设备 中的动作或操作,并因此而通常更不利于本控制系统操作。当运些攻击破坏该工厂控制系 统的正在进行的操作时,运些攻击可能对于过程工厂具有严重和潜在的破坏性或者甚至致 命的影响。
[0008] 有大量的研究活动来规定和构建用于防止或限制对于过程或工业控制和维护网 络的攻击的硬件和软件配置。但是,即使严密防御的工业控制系统(ICS)网络或监控和数据 采集(SCADA)网络仍然受到安全威胁,比如,安全防御的错误配置、具有合法访问权限的用 户的恶意行为、W及公开未知但代表外部攻击者的恶意软件行为。此外,一旦网络受到感 染,则只有有限的能力来自动地检测在过程控制或工业控制设备中或者在工厂通信节点中 存在病毒或恶意软件。通常来说,一旦攻击在工厂环境下获得成功,则其通常需要操作者、 维护人员等等检测工厂通信节点或设备是否被感染。虽然可W在通信网络的每一个节点都 运行后台病毒扫描软件,但该软件占用大量的存储空间和处理资源,需要进行定期地更新 (其需要显著的网络维护资源和时间),但仍然不能检测到零日病毒。
[0009] 在很多情况下,工厂设备或网络节点处的病毒或未授权软件可能造成该设备或网 络的性能下降,可能中断正常的工厂操作W至于在该网络中的该节点或其它节点处产生错 误或警报,或者可能造成其它严重和明显的问题。在运些情况中的一些,操作者或其它工厂 人员可能可W相对容易地检测到病毒的存在,但仍然很难检测到病毒的位置。此外,在很多 其它情况下,病毒或攻击可能不被检测地操作一段很长的时间,同时其可W使网络操作稍 微地性能下降,运种下降或者关于工厂操作的其它影响可能是可W忽略的,所W非常难进 行检测。结果,在很多情况下,病毒可能会在很长的一段时间不被发现,在此时间期间,运些 病毒可能进行操作W降低工厂效率,允许窃取工厂数据,进行更严重的入侵,将网络设备暴 露在严重攻击或伤害之下等等。
【发明内容】
[0010] 诸如工业或过程工厂控制或维护系统之类的控制系统实施通信网络威胁检测系 统,该系统使用在网络上发送的通信的异常检测来检测潜在被感染的网络节点。通常来说, 该异常检测系统检测通信网络上的业务模式的非预期变化或异常,来检测被感染或潜在被 感染的节点。虽然很难在标准的、开放通信网络上执行运种异常检测(运是由于运些网络上 的节点的配置不断变化),但在过程工厂或工业控制网络中,可W更有效地使用异常检测, 运是由于运些网络节点的相对静态配置,W及在工厂或网络中使用的过程或工业控制或维 护系统配置的先验性。
[0011] 本文所描述的异常检测系统通常将数据采集处理工作负载分配到通信系统的整 个网络节点上,从而减少各个节点处的异常检测工作负载。此外,本文所描述的异常检测系 统基于网络配置的知识,并通过在网络中报告关于网络业务的元数据来进行分析(而不需 要单独的监测网络),来减少异常分析工作负载。此外,本文所描述的异常检测系统还通过 接收通知和说明授权网络配置改变或自动化重新配置活动(例如,由于高可用性机制),来 减少异常检测分析的假阳性率。另外,本文所描述的异常检测系统可W使用相同的数据来 执行多种类型的异常分析(例如,安全或维护),通过预先规定的规则和机器学习的任意组 合,来实施在工业控制系统中的任何网络节点上执行的分层分析/报告。
【附图说明】
[0012] 图1是过程控制网络的示例性通信流程图,该过程控制网络之中安装有异常检测 系统。
[0013] 图2是具有多个互连的通信网络的过程或工业工厂的示例性框图,其中在运些过 程或工业工厂中,可W实施一个或多个网络异常检测系统(如,图1中的系统)。
[0014] 图3是具有分布式过程控制系统和过程自动化网络形式的图2中的工厂网络之一 的示例性图,其具有包括操作者和维护工作站、服务器和控制器节点的各种节点,其中图1 中的异常检测系统用于检测潜在被感染或受损害节点。
[0015] 图4描述了用于示出在本文所描述的示例性异常检测系统的各个部件之间的通信 流W及在各个部件处执行的处理的流程图。
【具体实施方式】
[0016] 通常来说,本文所描述的网络安全系统通过对工业系统或过程控制网络的节点处 或跨节点的网络业务模式(例如,业务或消息内容、频率、时间、长度等等)中的异常进行检 测来实施威胁检测,由于工业系统或过程控制网络配置的先验性能实施测量的业务模式与 期望的或已知的模式进行比较,因此其能有效地执行。也就是说,过程控制、工业系统或工 厂自动化网络中的网络通信的配置,通常在该通信网络的实施或操作之前就是相当清楚地 知道的,因此网络业务模式在运些网络的使用或操作期间并不会趋向于显著改变。相反,网 络通信业务模式在该通信网络的操作期间趋向于是相对静态的(在统计意义上),因此网络 模式的改变(特别是在统计意义上)可W指示对于该网络的侵入,其不是原始或期望的配置 的一部分。
[0017] 基于网络的异常检测系统的典型问题在于:分析引擎(其是对于消息或业务进行 解析W检测业务模式的变化的引擎)必须可W利用在各个网络节点处接收和发送的消息。 运种需求意味着必须在每一个网络节点处执行单独的分析引擎,或者必须通过网络将每一 个节点处的消息业务发送到中央异常检测引擎进行分析。在第一情况下,各个节点处的分 析引擎被限于仅对单一节点处的消息业务进行解析或分析,运使得与分析横跨整个网络的 消息业务的引擎相比,该分析引擎不太有效。此外,在该情况下,该分析引擎可能会花费节 点的大量处理能力,运种情形可能限制或减慢该节点执行其它任务。在第二情况下,由于各 个节点必须向中央分析引擎发送所有消息,因此网络可能变得陷于流量拥塞的泥沼之中, 运种情形需要网络上的各个节点所接收的每一个消息都冗余地(通过网络总线或通信信 道)发送到中央分析引擎节点。
[0018] 由于为了实施有效的异常检测,所有网络业务都必须是分析引擎可见的(运在分 段的网络中是一个严重的问题),因此集中采集并不能很好地适应数百的网络端点。另外, 过程工厂网络中的几乎实时端点趋向于具有有限的计算资源用于安全任务,运种情形限制 了运些端点设备运行或执行强大的业务异常检测系统的能力。此外,网络链路可能具有变 化的容量和性能特性,中间流(mid-stream)控制系统配置改变可能会产生大量的假阳性 (false positive)。
[0019] 图I描述了用于减少或消除运些问题的一种示例性网络异常检测系统10。通常来 说,异常检测系统10是一种分布式系统,因为其包括布置在各个网络节点处用于向更加中 央的分析引擎发送关于消息业务的信息的数据采集模块。虽然运些数据采集模块用于采集 和分析进入和离开相应网络节点的消息业务,但运些数据采集模块并不向分析引擎发送运 些消息本身,而是生成用于描述该消息业务的元数据,并将元数据发送到分析引擎。中央分 析引擎接收在各个网络节点处采集的业务元数据,进行操作W分析该元数据,从而检测可 W指示该网络被入侵的消息业务异常。
[0020] 具体而言,如图1中所示,异常检测系统10在网络20(其可W是过程工厂网络、过程 控制和/或维护网络、工业控制系统网络、自动化网络或者任何其它类型的网络)中运行,网 络20具有经由通信链路24来连接在一起的各个分布式网络节点22A-22N。通信链路24可W 是有线或无线通信链路(或者其组合),并且可W使用任何期望类型的通信协议或协议集来 执行通信(其通常是基于分组的通信)。异常检测系统10包括布置在网络20的不同节点处的 各种模块或组件,其包括消息采集模块30和32W及布置在至少一个节点(在图1中示出成节 点22K)中的异常分析引擎34。如图1中所具体示出的,每一个网络节点22可W具有一个或多 个消息分析采集模块30和32,它们包括布置在其中的进入消息采集模块30和外出消息采集 模块32。通常来说,各个网络节点22处的消息采集模块30和32分别接收(查看)和分析每一 个进入或外出消息,采集或生成关于运些消息中的一些或全部的元数据。该元数据可W包 括,但不限于:消息的时间戳、消息长度、该消息中的一个或多个数字字段的长度、地址或地 址器(如,发送器和/或接收器)、奇偶信息、消息类型(例如,格式)等等。当然,模块30和32可 W生成或采集关于在网络节点处接收的或者从网络节点发送的每一个消息的任何其它元 数据,采集模块30和32可W将该元数据存储在本网络节点处的临时存储器或其它存储器31 中。
[0021] 定期地(按照非周期时间或者W实时的方式),任何网络节点22的消息采集模块30 和32可W经由本节点的通信前端33,向异常检测分析引擎34传输在网络链路24上针对本节 点所采集的元数据。通常来说,如图1中所示,异常检测分析引擎34包括异常检测控制器40、 专家或逻辑引擎42、规则数据库或存储器44、消息业务模式存储数据库46、报警或通知引擎 (其还称为警报发生器48)和元数据存储单元50。具体而言,检测控制器40例如经由网络链 路24,接收从网络节点22的各个消息采集模块30和32提供的元数据。检测控制器40将该元 数据(连同与该元数据有关的网络节点的指示)存储在元数据存储单元50中。虽然优选的是 使用网络链路24(例如,网络20的主网络总线或通信信道)来实施将所采集的元数据从网络 节点22传输到检测引擎34,但异常检测引擎34可W经由单独的通信链路(例如,其专用于向 检测引擎34提供与所采集的元数据有关的通信)来连接到网络节点22。
[0022] 因此,不同于将消息本身发送给分析引擎来进行分析的现有技术系统,异常检测 系统10使用网络链路24来从节点22向检测引擎34传输消息元数据,而不是传输整个消息。 由于与消息本身相比,该元数据通常在尺寸上相对较小,因此异常检测系统10通常只需要 很低的网络带宽,或者最少地使用网络链路带宽。结果,当在网络链路24上发送的节点22之 间的消息业务占用了通信链路24的全部带宽时(如图1中的线60所指示的),在通信或网络 链路24上执行的该元数据通信通常只需要该链路24的较低带宽使用(如图1中的线62所指 示的)。
[0023] 无论如何,检测引擎34的控制器40定期地、连续地、按照各种预先配置的时间、响 应于用户请求或命令、响应于检测到的事件等等,发起专家或逻辑引擎42对所采集的元数 据进行分析。在运种分析循环期间,逻辑引擎42可W通过实施规则数据库44中存储的逻辑 规则集,来分析从节点22所采集的元数据(如元数据存储器50中所存储的),检测进入或离 开各个网络节点22的消息业务中的异常。具体而言,分析或逻辑引擎42可W基于所存储的 元数据和业务模式存储数据库46中存储的一个或多个业务模式参数,实施规则数据库44中 存储的逻辑规则里的一种或多种(或全部)。
[0024] 在通常意义上,在业务模式数据库46中存储的业务模式参数反映了进入和离开网 络20的节点22的消息业务的预期或正常行为。具体而言,通过在一段特定的时间期间(例 如,当网络20启动并正确运行时(在其建立之后),当相对地确定网络没有受到损害时),对 来自网络20的节点22的消息或业务元数据进行采集和分析,来生成业务模式数据库46中存 储的业务模式数据。在该时间期间,所生成的或采集的元数据在统计意义上反映该网络的 "正常"或"预期"操作。可W对在该时间期间采集的消息元数据进行采集或根据在该时间期 间采集的消息元数据来生成各种业务模式参数或统计量,并将该数据作为反映该网络的预 期或正常操作的基础或参考数据集,存储在业务模式数据库46中。在数据库46中采集或生 成和存储的业务模式参数可W包括:例如,在任何特定节点或者节点组W任何粒度来对业 务的统计测量。也就是说,所存储的业务模式参数可W指示关于任何类型的数据进行分组 或执行的数据统计测量值(例如,均值、标准偏差、平均值、中值等等)、时间帖、节点或组节 点、进入或外出、发送器接收、长度等等,它们可W存储在任何期望的层级中(例如,反映网 络的配置层次的层级)。业务模式参数还可W包括:针对进入或离开节点或节点组的任何类 型或任何组的通信的范围或限制,当超过该范围或限制时,将反映或触发异常检测或潜在 的异常检测。运些范围或限制可W是绝对限制(例如,具有固定数的形式),也可W是基于或 相对于其它统计测量值的相对限制(例如,=倍的平均值、落入在第一或第二标准偏差之 内、高于或低于中值或均值的预定数量等等)。
[0025] 应当理解的是,生成规则数据库44中的规则,并使用其来规定应当对当前或采集 的元数据进行分析W检测网络中的异常的方式。具体而言,规则数据库44中的规则指定应 当对采集的元数据进行分析的方式,例如,将所采集的元数据或者关于所采集的元数据的 统计量与数据库46中存储的业务模式数据进行比较,和/或使用如业务模式数据库46中所 存储的业务模式极限或范围。在通常意义上,规则引擎42实施规则数据库44中存储的规则, W将所采集的元数据(例如,关于所采集的元数据的统计量)与业务模式数据库46中所存储 的作为基线数据的业务模式参数进行比较。
[0026] 同样,如图1中所指示的,检测引擎34包括警报发生器48,后者基于规则或逻辑引 擎42所执行的分析的结果,来生成一个或多个告警、警报或消息。警报发生器48所生成的运 些告警、警报或消息可W经由网络链路24(如图1中所示)或经由任何其它通信链路(针对该 目的而提供或者用于该目的),发送给任何期望的人员(例如,操作者、安全人员、IT人员等 等)。举例而言,可W将告警、警报或消息发送到指定人员的电子邮箱账号、发送到还示出了 关于该工厂的其它数据的操作者或安全界面、可W发送成电话呼叫或短消息(其经由专用 或公共网络,传送到指定人员或人群的任何期望设备(如,移动设备等等))。同样,可W将运 些告警、警报或消息设置成任何指定人员(其负责响应和调查网络20的被入侵)的手持设备 (例如,电话、手表、可穿戴设备、膝上型计算机、平板计算机等等)上的离线警报或通知。在 一些情况下,告警或警报发生器48可W进行操作W限制对于被感染或潜在被感染节点的访 问,可W关闭节点,或者在非常紧急情形下,可W关闭或隔离通信网络20本身,W限制该入 侵对于该工厂或者该工厂中的子系统所造成的损害。当然,警报发生器48可W包括用于与 网络20中的其它设备进行通信W影响运些自动操作的软件或逻辑。在一些情况下,警报发 生器48可W在工厂网络20中采取运些自动动作之前,要求来自用户的授权,但在其它情况 下,在向用户通知入侵或者潜在的入侵之前(或者与之同时),在网络20中执行运些动作。此 夕h当采取自动动作时,警报发生器48可W与被感染的节点或潜在被感染节点进行通信,W 限制来自(进入和/或离开)该节点的通信,例如W便限制或者暂停来自该节点的特定类型 的消息,暂停或限制该节点处的特定应用的操作(其可能产生异常消息业务),暂停或限制 经由设备的某些端口的通信等等。替代地或另外地,警报发生器48可W与其它节点(例如, 连接到其它网络的网关节点)进行通信,W限制或暂停网络20和其它网络之间的消息。运种 动作可W允许在网络20上发生紧急操作(例如,控制操作),同时将网络20与外部源进行隔 离,W便至少临时地防止异常消息业务离开或者进入网络20,运可W限制数据窃取,可W停 止网络20中的病毒感染其它网络,可W停止经由被感染节点而进一步入侵网络20等等。例 如,警报发生器48可W切断外部商业系统和受影响工业控制系统网络之间的所有通信,直 到现场安全人员评估完该异常情形为止。当然,警报发生器48可W联结到(通信连接到)其 它系统(例如,安全系统)来执行运些功能。
[0027] 规则数据库44可W存储一个或多个安全人员、配置人员、用户、操作者等等所生成 或产生的任何期望的规则集,运些规则集规定用于对从通信网络节点22接收的消息业务或 消息元数据所执行的分析,W判断在该消息业务或业务模式中是否存在异常,并因此判断 是否应当生成告警或警报。此外,规则引擎42还可W执行运些规则,W便将当前消息或业务 元数据与标准或基线数据集进行比较,其中标准或基线数据集是网络20的各个节点22在系 统进行首次建立或者配置的时间W及因此知道或者可能在网络20中不存在入侵或恶意软 件的时间期间所采集的。本文将该存储的消息或业务模式元数据称为基线元数据集合,其 规定了该网络或网络节点的"正常"操作。因此,规则引擎42所使用的规则可W用于将从节 点或节点组采集的元数据与用于该节点或节点组的标准或基线元数据进行比较,W判断在 其之间是否存在显著的差异,如业务模式数据库46中存储的其它业务模式参数所规定的 (例如,限制或差异变量)。显著的或统计相关的差异(如规则数据库44中的逻辑规则所确定 的),可W指示网络20的被入侵或者其的节点22被入侵。如果检测到差异,则控制器40可W 使得警报发生器48产生告警或警报。可W基于检测到的当前消息业务和基线消息业务之间 的差异的类型、该差异的严重性等等,来配置告警或警报的类型、运些警报的接收者、W及 运些告警或警报的其它参数(例如,优先级等等)。
[0028] 应当理解的是,可W针对节点22处的消息或业务,生成或者获得任何期望的类型 的元数据,可W生成规则数据库44中的规则,W便在分析引擎34中,使用该元数据或者关于 该元数据的统计,W任何期望的方式来对该元数据进行分析。例如,该元数据可W包括关于 下面的通用信息或统计:(1)消息,如消息计数和消息计数统计,例如,最小值、最大值、平均 值等等;(2)连接信息和统计,例如,源(如,配置的与非配置的节点、源端口等等)、地址(如, 源地址、目的地址、源端口和目的端口)、范围(如,单播、多播、广播)、负载类型(如,TCP、 UDP、其它)、W及时间(如,日期时间、相对时间、尝试率等等);(3)通信信息,例如,消息时序 (如,速率、日期时间、序列错误等等)、安全错误(如,完整性失败、认证或解密)、消息内容 (如,大小、格式错误等等);(4)欺骗信息,例如,速率限制信息(例如,状态、方法、限制的速 率等等);W及连接尝试(如,乱序、残缺、扫描等等)。当然,也可W获得和使用任何其它类型 的消息元数据,应当理解的是,本文所提供的列表并不是全面的。
[0029] 此外,可W基于网络或节点中的其它因素或参数,诸如发送节点或接收节点的角 色(例如,运些节点是工作站、还是服务器、网关、控制器、I/O服务器、远程终端单元(RTU)等 等),来采集和存储消息元数据。因此,应当理解的是,可W在网络各个不同的层级水平(例 如,W设备或节点为基础、W设备或节点角色为基础、W消息为基础等等),或者相对于该网 络的任何其它层级水平,来生成消息和业务元数据。另外,可W使用控制或通信网络20的配 置信息,来初始地生成或者修改用于对业务元数据进行分析,或者对元数据分析进行组织 的规则。通常来说,用于网络的配置信息包括:关于运些节点(设备)中的每一个节点处的应 用、模块、控制例程等等的数量的信息、W及其中的运些各种逻辑单元、软件单元和硬件单 元彼此之间进行通信的方式(其包括:通信对(发送器/接收器对、通信时序、频率、消息类 型、控制系统角色或设备类型等等)的信息。该配置信息可W用于生成或修改在对来自任何 节点的业务元数据进行分析时所使用的规则。也就是说,可W使用包括配置层级信息的配 置信息(例如,什么设备和模块与网络中的什么其它模块和设备有关),来生成修改或者填 充用于对消息元数据进行分析的规则参数。举例而言,可W使用该配置信息来例如选择用 于对业务元数据进行分析的通用规则的一个子集(即,属性)。此外,还可W使用该配置信息 来在一个或多个通用规则参数中插入特定的值(例如,在规则中具有< 用户〉占位符的地方, 可W使用该配置信息来填充在该配置中列出的特定用户的地址和端口信息)。用此方式,可 W基于设备或节点的控制系统配置,从更大的通用规则集合中定制有效的逻辑规则,W获 得特定规则的子集。
[0030] 另外,如图1中所示,异常检测系统10包括网络配置改变模块70,后者可W例如存 储在网络配置数据库或服务器设备72中。通常来说,配置改变模块70进行操作,W检测用于 通信网络20的网络配置的改变,随后经由例如网络链路24,向检测引擎34发送表示运些改 变和/或运些改变的通知。如本文所使用的,配置改变可W包括对于网络上的设备或者设备 集的操作的任何改变(其包括:增加新设备、应用、模块等等;删除任何设备、应用、模块等 等;W及设备、应用、模块的改变等等)、W及参数、设置或其它配置的改变(其包括任何硬 件、软件或固件设置的改变),其包括改变通信和过程控制设置(例如,改变在诸如批处理中 使用的配方等等)。在该情况下,只要配置工程师或其它用户例如通过向网络增加新的应用 或模块、改变网络中的应用或模块彼此之间进行通信的方式等等,来改变网络配置,则网络 配置改变模块70检测运种改变,并向检测引擎34发送通知(其向控制器40通知该网络配置 的改变)。当然,虽然将改变模块70示出为位于配置数据库72之中,但配置模块70可W位于 访问或者实施配置应用(其中该应用改变网络20的配置或者使用户能够改变网络20的配 置)或者被通知配置发生改变的任何设备或计算机(例如,操作者界面设备或服务器)之中, 并且配置模块70可W W任何期望的方式进行操作来检测网络配置改变。
[0031] 无论如何,只要对网络20的配置进行了改变(例如,在网络20上的任何设备中或者 连接到网络20的任何设备中,实施对任何软件、功能块、模块等等的通信方面的增加、删除 或改变),则改变检测模块70可W向分析引擎34发送通知,W通知分析引擎34预期网络业务 模式或细节的改变或潜在改变。当业务模式的改变是由于网络配置的改变,而不是实际入 侵时,该通知可W使分析引擎34避免假阳性率(例如,检测到入侵)。
[0032] 此外,在检测到网络配置改变时,控制器40可W运行或实施用于对来自网络节点 22的元数据进行采集的过程(在配置发生改变之后),并使用新采集的元数据来生成新的基 线元数据集合或基线元数据统计量,W存储在业务模式数据库46中。随后,可W使用该新的 基线元数据集合,W基于网络的配置状态来检测业务模式中的未来异常。另外,在一些情况 下,控制器40可W另外地或替代地基于网络的新配置,改变规则数据库44中存储的规则, 和/或改变业务模式数据库46中存储的限制或其它参数,W便在了解了新的或改变的网络 配置之后,使异常检测系统10能够更佳地操作。
[0033] 因此,应当理解的是,网络配置的改变可W通过例如增加或减少网络流量,改变网 络通信的特定类型(例如,通过改变网络22上的各个设备之间的某些类型的通信的属性或 者量,或者改变在网络20的节点22处的各个设备之中运行的应用之间的某些类型的通信的 属性或者量),来改变网络业务模式。无论如何,网络配置的改变可能造成已针对基线网络 配置所开发和存储的基线元数据和元数据统计量是不正确的。在运些环境下,检测引擎34 的控制器40可W开始对该新配置下的新网络业务元数据进行采集,基于该元数据来确定统 计性或其它数据,并将该数据作为新的基线元数据存储在基线数据库46中。在一些环境下, 作为新配置的结果,可能期望改变、增加或删除规则数据库中的规则,W便例如针对该新配 置来裁剪规则(例如,通过在规则数据库的一个或多个规则中实施属性插件,W匹配或反映 新配置的参数)。例如,可W根据新配置来增加新类型的通信,基于新通信,利用属性插件来 更新规则,随后,可W基于通信的新发送器和/或接收器,使用该规则来分析与运些新类型 的通信相关联的元数据。
[0034] 无论如何,在生成新的基线统计数据集合之后,规则引擎42可W随后基于该新的 基线统计数据和规则数据库44中存储的规则,开始活动地检测入侵。应当理解的是,配置改 变检测模块70的使用可W减少或限制网络配置的改变所造成的假阳性率(即,入侵的不正 确检测)。此外,当网络被重新配置时,配置改变检测模块70可W用于重新调整异常检测引 擎10,从而使异常检测引擎10甚至在网络配置改变之后也能够正确地操作。
[0035] 可W查看到,图1的异常检测系统10在网络节点22之中分配数据采集处理工作负 载,因此在各个节点22处不需要很大量的处理能力。此外,该系统通过系统网络配置的知 识,来减少网络节点和异常检测分析工作负载,并报告关于网络业务的元数据来进行分析, 而不需要单独的监测网络。另外,该系统通过通知授权的网络配置改变或者自动化重新配 置(例如,由于高可用性机制),减少了异常检测分析的假阳性率,并可W使用相同的数据来 执行多种类型的异常分析(例如,安全或维护)。另外,该系统通过预先规定的规则和机器学 习的任意组合,实施在工厂控制或工业控制系统中的任何网络节点上执行的分层分析/报 告。
[0036] 此外,异常检测系统10可W使用网络节点处的工厂网络配置来减少元数据采集工 作负载,可W使用分析引擎34处的已知系统网络配置来规定规则集,并来进行用于分析引 擎34的学习过程,并且可W只报告关于网络节点所查看到的网络业务的元数据(与报告完 全复制的网络帖、日志相比,或者只报告SNMP警报相比)。同样,异常检测系统10可W使用系 统网络配置改变通知来减少异常检测分析的假阳性率或者对所获得的通知进行重新分类, 与集中式服务器/设备相比,在网络基础设施设备(例如,交换机、路由器、防火墙)处执行元 数据收集和/或分析。此外,与集中式服务器/设备相比,该系统10可W在端点设备(例如,控 制器、RTU、I/0服务器、工作站、服务器)处执行元数据收集和/或分析。
[0037] 在一些情况下,异常检测系统10可W使用FPGA、TCP卸载引擎或者其它可编程硬件 来执行元数据收集和/或分析,可W在网络节点22之中或者横跨网络节点来执行分层元数 据收集。同样,与集中式服务器/设备相比,异常检测系统10可W基于端点设备(例如,控制 器、RTU、I/0服务器、工作站、服务器)处的出站业务和/或分析来执行元数据收集,并可W基 于系统网络配置,根据端点设备(例如,控制器、RTUJ/0服务器、工作站、服务器)处的业务 缺失和/或分析来执行元数据收集。此外,在一些情况下,如果期望的话,可W建立异常检测 系统IOW挖掘所有网络交换机,W访问流经运些交换机的所有网络业务。但是,该配置并不 能很好地扩展到多层交换机拓扑,运是由于该配置限制每一个交换机的最大容量,并需要 运行另外的电缆/网络来仅仅用于监测业务。
[0038] 举例而言,图2和图3示出了可W在其中安装和使用图1的异常检测系统10的示例 性工厂网络。具体而言,图2示出了包括多个不同的但相互连接的通信网络112、114、116和 118的工厂或工业通信系统110,其中每一个通信网络都具有多个网络节点。具体而言,图2 的通信网络112可W是商业通信网络,其包括通过通信总线124来相互连接的多个节点 122A-122H,例如,通信总线124可W是W太网总线或者任何其它有线或无线通信总线或网 络。例如,节点122A、122B可W包括运行商业应用或程序的计算机、服务器、工作站等等,节 点122C可W是例如数据库(其存储商业数据、工业工厂配置数据或者关于工厂110的任何其 它期望的数据)。同样,节点122D、122E和122F可W分别是用于将网络112连接到其它通信网 络114、116、118,^允许网络间通信的网关节点。同样,节点1226可^是用于将网络112连接 到互联网、云或者其它广域网,W使网络112与远程服务器、工厂或其它计算机进行通信的 网关节点。
[0039] 在该例子中,网络114、116和118是工厂(例如,过程工厂或工业工厂)控制网络,其 包括通过有线或无线通信总线或网络链路来互连的各种节点。工厂控制网络114、116和118 中的每一个可W包括位于其节点处的各种类型的设备的任何一种。例如,工厂控制网络114 和116是有线通信网络,其每一个都包括一个或多个用户接口设备130、数据库或历史库132 (其可W存储用于网络114和/或116的工厂控制网络配置数据)、经由通信总线136(在该情 况下,具有W太网通信总线的形式)进行互连的一个或多个过程控制器节点134、W及一个 或多个服务器或处理器节点138。过程控制节点134可W包括一个或多个过程控制器,该一 个或多个过程控制器经由一个或多个有线或无线子网络140,通信地禪合到诸如I/O设备和 现场设备之类的其它设备(例如,传感器、阀口、受控设备等等)。子网络140中的现场设备可 W采用例如阀口、传感器、发射器或其它测量或控制设备的形式,其中运些测量或控制设备 对工厂中的某个参数或过程变量进行测量,或者执行与工厂中的材料操作或材料流动有关 的某种物理控制动作。例如,现场设备子网络140可W使用诸如高速可寻址远程传感器 (HART")协议、FOUNDATION'咕ieldbus协议、Profibus协议、CAN协议等等之类的任 何期望的过程控制通信协议或范例。此外,可W将现场设备子网络140实施成有线或无线网 络,比如Wimless打A民T?网络。此外,网络114和116还可W包括节点122D、122F处的网关 设备,其将网络114和116连接到网络112、互联网或其它WAN等等。当然,运些网关设备可W 提供防火墙和其它安全特征或应用。
[0040] 用类似的方式,将通信网络11 8示出成可W使用诸如无线W太网协议、 Wireles讯ART'ki协议、ISA 100无线协议等等之类的无线通信协议的无线通信网络。将通 信网络118示出成包括各种节点,例如,用户接口设备或工作站130、数据库132、过程控制器 134、服务器136、现场设备子网络140、网关设备139等等。当然,任意数量的运些和其它类型 的设备可W位于通信网络114、116和118的各个节点处。应当理解的是,网络112、114、116、 118中的任何或所有网络设备都可W包括一个或多个计算机可读存储器和处理器,其中在 运些部件上可W存储和执行各种软件模块(其包括与本文所描述的异常检测系统10相关联 的模块中的任何一个)。
[0041 ] 重要的是,可W将参照图1所描述的异常检测系统10实施在图2的网络112、114、 116和118中的任何一个和全部之中,W检测具有例如恶意软件或者在运些网络中运行的其 它非授权应用形式的对运些网络的入侵。通常来说,针对网络112、114、116和118中的每一 个,可W存在单独的异常检测系统,但在一些情况下,可W使用单一的异常检测系统来覆盖 网络112-118中的多个(例如,网络114和116或者网络112和114等等)。同样,可W将用于一 个网络(例如,网络118)的异常检测系统的组件,存储在运些网络中的另一个网络(例如,网 络112)里的设备中。
[0042] 举例而言,如通常在图2的网络114、116和118中所示出的,用于运些节点中的每一 个节点的异常检测系统可W包括位于通信网络114、116、118中的每一个网络节点(或者运 些网络节点中的至少一些)处的采集应用150(其可W包括图1的消息采集模块30和32),并 可W包括:位于配置异常检测系统进行保护的网络114、116和118中的一个节点处的分析引 擎154(其可W包括图1的检测引擎34)。在网络118的情况下,将分析引擎154示出为位于网 络112的节点之中(例如,位于工作站122A),W说明用于特定网络的异常检测系统的组件可 W位于该网络之外的设备之中。
[0043] 通常来说,采集应用或采集模块150中的每一个观测或分析在节点处生成并通过 网络链路来发送的网络消息业务,和/或在该网络节点处接收(发送到该网络节点)的消息 业务,运些采集应用或模块150生成关于该消息业务的元数据。通常,采集应用150在网络的 每一个节点处独立地操作,采集各个节点处的网络业务元数据,并随后将该元数据发送到 用于该网络的分析引擎154,其中分析引擎154对该元数据进行分析W确定网络业务模式中 的异常。随后,可W使用运些检测到的异常来检测对于网络的潜在或实际入侵(其包括恶意 软件、窥探程序等等)。如果期望的话,采集应用150可W通过该网络本身,也可W使用独立 的、单独的或并行的通信网络(如果期望的话),来发送关于(进入和离开)网络节点处的消 息业务的元数据。但是,由于通常只需要向分析引擎154发送关于消息业务的元数据(而不 是运些消息本身),因此数据采集应用150和相应的分析引擎154之间的通信并不会显著地 增加网络链路的流量负载。此外,虽然数据采集应用150可W实时地发送元数据,但它们也 可W优选地存储该元数据,并定期地、只要采集到某个数量的一个节点的元数据、按照指定 的时间、响应于指定的事件等等,向相应的分析引擎154发送批量的元数据,从而减少数据 采集应用150和分析引擎154之间的通信所造成的网络流量。为了便于说明起见,还在各个 网络112、114、116、118中示出了一组配置改变检测模块170,运些模块^上面所描述的方式 进行操作,W向相应的分析引擎154警告在相应网络中发生了配置改变。
[0044] 同样,再次为了便于说明起见,图2示出了用于网络114的异常检测系统完全地布 置在该网络114之中(即,布置在直接连接到网络114的网络链路的设备之中),而用于网络 118的异常检测系统包括布置在网络118中的设备里的组成元素(例如,采集模块150),同时 用于该网络的分析引擎(位于节点122A中)和配置改变检测模块170(位于节点122C中)布置 在该网络118通信禪合到的另一个网络(网络112)中的设备里,并在其中进行执行。用此方 式,消息采集模块150向实际实施在网络118之外的设备中(例如,位于网络112的节点122A 处的设备中)的网络118的分析引擎154发送针对网络118的元数据。另外,虽然没有特别地 示出,但可W使用单一分析引擎154来检测多个网络中的业务异常或者跨多个网络来检测 业务异常。例如,位于网络112的节点122A处的设备中的分析引擎154可W进行操作,W便从 网络112和116中的设备、网络118和116中的设备、或者网络112、116和118中的设备接收元 数据。在该情况下,同一个分析引擎154将从一个或多个配置改变检测模块170(例如,根据 用于网络112、116或118等等的配置数据库所处的位置,它们可W位于网络112、116或118中 的一个网络里的设备中或者甚至位于其它网络中的设备里)接收改变通知。因此,可W使用 单一异常检测系统来检测单一网络或者横跨多个网络的消息或业务异常。此外,虽然将异 常检测系统描述成具有用于每一个网络的单一异常检测引擎154,但相同的异常检测系统 可W在网络的例如不同设备中具有多个检测引擎154。运种配置可W降低任何特定引擎154 的处理能力需求,提供分布式处理等等。
[0045] 再举一个例子,图3更详细地示出了图2中的通信网络114。在该例子中,通信网络 114包括有线W太网总线200,后者可W包括用于互连各个设备的一个或多个交换机202,例 如,到其它网络226的网关、到诸如互联网、一个或多个用户接口设备或工作站230、配置数 据库232、服务器23和两个过程控制节点234A和234B之类的外部系统228的网关。运里,第一 过程控制节点234A包括经由输入/输出(I/O)卡226和228来通信地连接到有线现场设备 215-222,经由无线网关235和网络骨干网200来通信地连接到无线现场设备240-258的一个 或多个冗余过程控制器260。在该情况下,无线网关235是网络114的第二控制节点234B。在 另一个实施例中,节点234A处的控制器260可W使用不同于骨干网200的通信网络(例如,通 过使用另一个有线或无线通信链路或I/O模块),来通信地连接到无线网关235。
[0046] 控制器260(举例而言,其可W是血erson(艾默生)过程管理所出售的DeltaV?控制 器)可W进行操作,W使用现场设备215-222和240-258中的至少一些来实施一个或多个批 量过程或者连续过程、维护应用、安全系统应用等等。控制器260可W使用任何期望的硬件 和与其相关联的软件(例如,标准4-20mA设备、输入/输出(I/O)卡236、238)和/或诸如 PGUNDATION^Fieldbus协议、hart?协议、WirelessHART?协议等等之类的任何 智能通信协议,通信地连接到现场设备215-222和240-258中的至少一些。另外地或替代地, 控制器260可W经由其它连接,与现场设备215-222和240-258中的至少一些进行通信地相 连。在图3所示的网络中,控制器260、现场设备215-222和I/O卡236、238是有线设备,现场设 备240-258是无线现场设备。当然,有线现场设备215-222和无线现场设备240-258可W遵循 任何其它期望的标准或协议,例如,包括未来开发的任何标准或者协议的任何有线或无线 协议。
[0047] 图3的控制器260包括实施或者监督一个或多个过程控制例程(例如,其存储在存 储器272中)的处理器270,其中运些过程控制例程可W包括控制环。处理器270可W与现场 设备215-222和240-258进行通信,与通信地连接到骨干网200的其它节点进行通信,W便执 行控制活动,或者诸如维护、监测和安全系统活动之类的其它活动。应当注意的是,本文所 描述的任何控制例程或者模块可W具有通过不同的控制器或者其它设备来实施或执行的 部分(如果期望的话)。同样,实施在过程控制系统中的本文所描述的控制例程或模块可W 采用包括软件、固件、硬件等等的任何形式。可W W任何期望的软件格式(例如,使用面向对 象的编程、梯形逻辑,顺序功能图,功能框图,或者使用任何其它软件编程语言或者设计范 例),来实施控制例程。可W将运些控制例程存储在任何期望的类型的存储器(例如,随机存 取存储器(RAM)或者只读存储器(ROM))中。同样,可W将控制例程硬编码到例如一个或多个 EPR0M、EEPR0M、专用集成电路(ASIC)或者任何其它硬件或固件单元中。因此,控制器260可 W被配置为W任何期望的方式来实施控制策略或控制例程。
[004引在一些实施例中,控制器260使用通常称为功能模块的方式来实施控制策略,其中 每一个功能模块是整个的控制例程的一个对象或者其它部件(例如,子例程),并结合其它 功能模块(经由称为链路的通信)进行操作W实施过程控制系统中的过程控制环。基于控制 的功能模块通常执行下面中的一种:输入功能,例如与发射机、传感器或者其它过程参数测 量设备相关联;控制功能,例如与执行PID、模糊逻辑等等控制的控制例程相关联;或者输出 功能,其控制诸如阀口之类的一些设备的操作,W执行过程控制系统中的某种物理功能。当 然,也存在混合的功能模块和其它类型的功能模块。功能模块可W存储在控制器260中并由 控制器260执行,通常运是下面的情形,运些功能模块用于或者关联到标准的4-20mA设备和 某种类型的智能现场设备(例如,HART设备),或者可W存储在运些现场设备自身中并由其 实施(运可W是与Fiel化US设备的情形)。控制器260可W包括能实施一个或多个控制环的 一个或多个控制例程280。每一个控制环通常称为一个控制模块,其可W通过执行运些功能 模块中的一个或多个来执行。
[0049] 有线现场设备215-222可W是任何类型的设备(例如,传感器、阀口、发射机、定位 器等等),而I/O卡236和238可W是遵循任何期望的通信或控制器协议的任何类型的I/O设 备。在图3所示的实施例中,现场设备215-218是通过模拟线路或者组合的模拟和数字线路 来向I/O卡236进行通信的标准4-20mA设备或者HART设备,而现场设备219-222是使用 Fie Idbus通信协议,通过数字总线向I/O卡238进行通信的智能设备(例如, FOUNDATION叩ieldbus现场设备)。但是,在一些实施例中,有线现场设备215-222中 的至少一些和/或I/O卡236、238中的至少一些可W使用大数据网络,与控制器260进行通 信。在一些实施例中,有线现场设备215-222中的至少一些和/或I/O卡236、238中的至少一 些,可W是过程控制系统网络114中的节点。
[0050] 在图3所示的实施例中,无线现场设备240-258使用诸如Wirele游打AUT?协议之 类的无线协议,在无线网络290中进行通信。该无线现场设备240-258可W直接与网络114的 一个或多个其它节点进行通信,其中网络114还被配置为实施无线通信(例如,使用无线协 议)。为了与没有被配置为无线通信的一个或多个其它节点进行通信,无线现场设备140- 158可W使用连接到通信骨干网200或者另一个过程控制通信网络的无线网关235。在一些 实施例中,无线现场设备240-258中的至少一些可W是过程控制系统网络114中的节点。 [0化1] 无线网关235提供无线设备240-258、有线设备215-222和/或过程控制网络114的 其它节点之间的通信禪合。在一些情况下,无线网关235通过使用有线和无线协议找的底层 中的路由、缓存和定时服务(例如,地址转换、路由、分组分割、优先级等等),同时对有线和 无线协议找的共享层或一些共享层进行隧道化,来提供通信禪合。在其它情况下,无线网关 235可W在不共享任何协议层的有线和无线协议之间转换命令。除了协议和命令转换之外, 无线网关235还可W提供与该无线网络290中实施的无线协议相关联的调度方案的时隙和 超帖(时间上均匀间隔的通信时隙的集合)所使用的同步时钟。此外,无线网关235可W提供 针对无线网络290的网络管理和监管功能,例如,资源管理、性能调整、网络故障缓解、监测 流量、安全性等等。
[0052] 类似于有线现场设备215-222,无线网络290的无线现场设备240-258可W执行过 程工厂中的物理控制功能,例如,打开或者关闭阀口或者对过程参数进行测量,或者执行其 它功能。但是,无线现场设备240-258被配置为使用网络290的无线协议进行通信。因此,无 线网络290的无线现场设备240-258、无线网关235和其它无线节点通常是无线通信分组的 制造者和消费者。
[0053] 在一些场景下,无线网络290可W包括非无线设备。例如,图3的现场设备248可W 是传统的4-20mA设备,现场设备250可W是传统的有线HART设备。为了在网络290中进行通 信,现场设备248和250可W经由无线适配器(WA)25^i或25化,连接到无线通信网络290。另 夕h无线适配器252a、25化可W支持诸如Foundation邸iel化us、PROFIBUS、DeviceNet等等 之类的其它通信协议。此外,无线网络290可W包括一个或多个网络接入点255a、255b,它们 可W是与无线网关235进行有线通信的单独的物理设备,或者在无线网关235提供成集成设 备。此外,无线网络290还可W包括一个或多个路由器258, W便将分组从一个无线设备转发 到无线通信网络290中的另一个无线设备。无线设备240-258可W通过无线通信网络290的 无线链路来彼此之间进行通信,与无线网关235进行通信,如图3中的虚线所示。
[0054] 虽然图3中的网络114只示出了单一控制器260与有限数量的现场设备215-222和 240-258,但运只是示例性的和非限制性的实施例。在网络114上可W包括任意数量的控制 器,控制器260可W与任意数量的有线或无线现场设备W及网络215-222、240-258进行通 信,W便例如控制工厂中的过程。此外,过程工厂还可W包括任意数量的无线网关235、路由 器258、接入点255和无线过程控制通信网络290。
[0055] 通常来说,威胁检测系统可W W遵循图1的公开内容的任何期望方式,安装或者实 施在网络114中。具体而言,如图3中所示,异常检测系统10包括通信模块330(其可W是图1 中的通信模块30和32),其布置在网络节点226、228、230、232、233、2344、2348和235中的每 一个里,W及交换机202或者网络114的其它端点设备中的任何一个里。虽然图3中没有完全 详细地示出,但通信模块330可W安装在任何子节点设备中,例如,安装在I/O设备236和238 中、安装在任何或全部的有线现场设备215-222中或者任何或全部的无线设备240-258。在 图3中,利用附图标记330a来标记子节点设备中的通信模块330里的每一个,W显示其位于 网络114的较大节点的子节点之中。如参照图1所指示的,通信模块330和330a分析进入和离 开每一个节点的业务,并编译关于该业务的元数据。
[0056] 在该示例性系统中,通信模块230和230a通过网络链路200向异常检测引擎334进 行通信,其中将异常检测引擎334示出为安装在用户接口设备230中的一个里。但是,异常检 测引擎334可W安装在网络114上的其它计算机设备中的任何一个里,例如,安装在网络上 的配置数据库232、网关设备226、228、交换机202等等中。此外,异常检测引擎334可W布置 在网络114之外的计算机设备中,例如,布置在图2的网络112、116、118中的一个里。在该情 况下,可W经由网络链路200和网关设备226、228中的一个(其可W包括防火墙,也可W不包 括防火墙),将网络114的各个节点或者子节点采集的元数据传输到另一个网络。另外,来自 子网络设备(例如,现场设备215-222、I/O设备236、238和无线现场设备240-258)的通信可 W向上发送到主网络节点设备(例如,控制器260或网关设备235),转而,运些设备可W将运 些通信转发到检测引擎334。另外,如图3中所示,配置数据库232包括配置改变模块370。后 者W任何期望的方式来检测配置改变,并将其传输给检测引擎234。如图3的节点中的至少 一些所示,运些节点设备中的每一个都包括处理器309(其可W是微处理器、ASIC、或者实施 和执行各种异常检测系统模块330、334和370的其它处理器),并包括用于存储运些模块W 在处理器309上执行的计算机可读存储器311。
[0057] 图4描述了用于示出在通信网络的各个节点之间的通信流W及各个节点处的处理 的示例性流程图,其中运些节点实现如本文所描述的示例性异常检测系统。具体而言,例程 400包括可W在网络的不同设备中实施的各种不同组件,包括:组件402,其可W在生成和采 集消息业务元数据的每一个设备或网络节点中实施;组件404,其可W连同配置模块、配置 数据库或其它配置例程一起存储,并实施在它们之中或者实施成它们一部分,W检测针对 节点的配置所做出的配置改变;组件406,其可W用于专家或异常检测引擎之中,W检测正 在被分析的网络中的异常。
[00曰引组件或例程402包括第一框410,其采集和查看一个节点处的进入消息和外出消 息,其可W位于该节点的通信层之中或者可结合该通信层进行操作,使得其能访问进入和 离开该节点的所有消息。框410(其可W实施图1的模块30和31)用于对运些消息进行查看, 并至少临时地存储运些消息。在采集消息之后,框412生成并存储关于该消息的元数据,其 包括本文所描述的元数据中的任何一个或者分析引擎请求或需要的任何其它元数据。当 然,采集和生成的元数据的特定本质可W基于在规则引擎中存储的规则的配置,而随时间 发生改变。接着,框414判断是否到了向分析引擎发送该元数据的时间,运可W按照下面时 间发生:定期地、或响应于用户请求、或当生成或存储某个数量的元数据时、或当分析了某 个数量的消息时等等。如果不需要发送该元数据,则框414将控制转回到框410。但是,如果 需要发送该元数据,则框416向分析引擎或者异常检测引擎发送所存储的元数据(无论该引 擎位于哪个节点)。此外,框416还可W发送关于该节点生成该元数据的细节,W及分析引擎 可W使用的其它上下文信息。虽然框416可W通过本网络的通信链路或总线,或者经由单独 的外部通信网络(在运些情况下,例程402位于与分析引擎相同的设备之中)来发送该元数 据,但运些通信也可W经由设备间通信来发生。通过图4中的虚线来将元数据示出为从框 416发送到异常检测引擎中的网络分析例程406。
[0059] 当然,在网络的操作期间,例程402连续地在该网络的各个节点处运行,W分析所 有的进入和外出消息,生成和存储元数据,并在需要时向异常检测引擎发送该元数据。
[0060] 例程404(其可W在配置数据库或者对网络配置做出配置改变的配置例程中操作) 包括框420,在框420处检测是否发生了配置改变,如果没有,则自身进行循环返回,并继续 分析是否进行了配置改变。当进行了配置改变时,例如,当一个配置存储在配置数据库中 时,当配置例程生成一个配置并下载到网络时,当新配置或配置改变下载到配置数据库中 时等等,框422向检测引擎发送配置改变的通知和/或发送新配置细节或者甚至整个新配 置,如框422中的虚线所指示的。如果期望的话,运种通信可W在网络链路上发生。当然,例 程404继续进行操作W检测配置改变,如果需要的话,向实施例程406的异常检测引擎发送 运些改变的通知W及配置改变细节。
[0061] 如图4中所示,例程406包括框430,其从各个节点接收和存储元数据,并将元数据 存储在存储器(例如,图1的元数据存储器50)中,W便W后进行分析。可W使用任何类型的 期望通信,W任何期望的方式来接收和存储该元数据,另外也可W使用任何期望的数据库 存储例程和/或系统来进行存储。可W基于元数据所来自的节点、W及交叉引用元数据的特 定类型、源等等的方式,来存储元数据。例如,可W将该元数据存储在关系数据库中,W便能 够基于存储的元数据的类型、元数据的参数、元数据的源、时间等等,W多种不同的方式进 行访问。
[0062] 无论如何,在执行期间,框432判断是否生成了由异常检测引擎进行使用的任何新 规则(包括改变的规则)。例如,运些新规则可W源自于对异常检测引擎中的规则进行改变 的用户,或者源自于安全人员,其中安全人员可W下载新规则,改变规则或者重新配置当前 规则所使用的参数或限制。如果获得了新的或改变的规则或者限制数据,则框432将控制提 供到框450,转而框450将运些新规则存储在异常检测引擎的规则数据库中(例如,图1的规 则数据库44),和/或将新限制或参数数据存储在图1的业务模式数据库46中。此外,框452基 于任何规则改变或者将要实施任何规则改变,对规则数据库中的有效规则进行修正。无论 如何,如果没有检测到新规则或规则改变,或者在保存了新规则或数据之后,框434判断在 网络中是否存在如配置改变例程404所指示的存储和/或保存了任何新配置。如果没有检测 到新配置或配置改变,则异常检测系统可W根据当前规则集和当前业务参数数据集进行操 作,并将控制提供到框436。框436判断是否到了对元数据数据库中当前存储的元数据进行 处理的时间。例如,框436可W确定其需要定期地(例如,一秒一次、一分钟一次、一小时一次 等等)、或者按照任何其它时间帖来处理元数据,或者可W响应于用户请求、或者响应于某 个预定的事件发生(例如,产生了某个警报)来运样做。无论如何,如果没有到处理元数据的 时间,则框436将控制返回到框430, W进行异常检测例程406的下一次迭代。
[0063] 但是,如果框436确定到了对元数据进行处理的时间,则转而,框438使用图1的规 则数据库44中存储的规则里的一个或多个规则W及图1的业务参数数据库46中存储的基线 元数据和业务参数,来对元数据进行分析。框438(其可W通过图1的规则引擎42来实施)可 W W任何期望的方式,对逻辑规则进行分析和处理。在利用规则中的一个或多个或者所有 规则对所有的元数据或者元数据的某一部分进行了分析之后,转而,框440判断是否需要例 如当基于规则数据库中的规则的操作时检测到了潜在异常生成警报。如果需要,转而,框 442基于检测到的异常的类型或者基于异常检测分析而得到的违反的规则的细节,向用户 实际发送基于异常检测的类型的警报或者其它信息,其中可W W任何方式来指定该用户。 框442可W基于用户的身份,或者基于什么用户应当获得什么类型的异常检测的预先配置 列表,来向一个或多个用户发送警报。另外,框442可W造成或发起自动动作,例如,关闭网 络,向检测到异常的节点发送消息W将其与网络断开、关闭该节点中的某些应用等等。随 后,控制返回到框430, W进行例程406的新循环或迭代。
[0064] 当框434确定发生了新的配置改变时,框460基于该配置改变来判断是否需要对规 则集进行改变。如果需要,则框452随后改变规则数据库中所存储的有效规则(自动地,或者 响应于用户输入),并将新的规则或者改变后的规则存储在规则数据库中(例如,图1的数据 库440)。无论如何,框462都基于配置改变,来判断是否需要对基线业务数据参数进行改变, 例如,运是由于新的配置可能改变网络的预期操作(就整体上,业务流进或离开特定的节点 或网络而言)。如果需要,则框464对来自一个或多个节点的元数据采集一段预定的时间,框 466判断在该时间段上是否采集了足够的元数据。如果没有,则控制返回到框464,继续对来 自新的配置下的节点的元数据进行采集。当框466检测到已采集了足够的元数据时,转而, 框468根据所采集的元数据来生成新的基线业务数据参数(例如,通过关于该元数据来编译 新的统计量,或者W任何其它期望的方式来处理该元数据)。在该过程结束时,将控制返回 到框430, W便使用运些规则和新的业务数据参数(如根据新的配置下的网络操作所确定 的)来进行异常检测的操作。
[0065] 应当理解的是,本文所描述的异常检测系统使用网络节点处的系统网络配置来减 少元数据采集工作负载,使用分析引擎处的已知系统网络配置来规定规则集,W及进行用 于分析引擎的学习过程(其中分析引擎也可W是学习引擎)。在分析引擎是学习引擎的情况 下,该分析引擎的规则引擎可W从例如用户接收反馈,W判断是否应当检测到异常,或者判 断检测到的异常是否并不指示该网络的被入侵,并相应地改变运些规则W合并或反映该反 馈。此外,异常检测引擎还可W报告关于网络节点所查看到的网络业务的元数据(与报告完 全复制的网络帖、日志相比,或者只报告SNMP警报相比),使用系统网络配置改变通知,来减 少异常检测分析的假阳性率或者对所获得的通知进行重新分类。另外,与集中式服务器/设 备相比,该系统可W在网络基础设施设备(例如,交换机、路由器、防火墙)处执行元数据收 集和/或分析,与集中式服务器/设备相比,可W在端点设备(例如,控制器、RTU、I/0服务器、 工作站、服务器)处执行元数据收集和/或分析,并且可W使用FPGA、TCP卸载引擎或者其它 可编程硬件来执行元数据收集和/或分析。另外,该系统可W在网络节点之中或者横跨网络 节点来使用分层元数据收集,可W基于系统网络配置,根据端点设备(例如,控制器、RTU、I/ O服务器、工作站、服务器)处的业务缺失和/或分析来执行元数据收集。
[0066] 虽然本文所描述的安全技术是结合使用W太网和各种已知的过程控制协议(例 如,Fi eIdbus、HART和标准4-20ma协议)的网络化过程控制设备和系统来描述的,但是当然, 本文所描述的运些安全技术也可W在使用任何其它过程控制通信协议或编程环境的任何 类型的控制设备中实施,并可W结合任何其它类型的设备、功能模块或控制器来使用。虽然 本文所描述的安全特征优选地利用软件来实施,但它们也可W利用硬件、固件等等来实施, 可W由与计算机设备相关联的任何其它处理器来执行。因此,本文所描述的方法和例程和 系统可W在标准的多用途CPU中实施,也可W在专口设计的硬件或固件(例如,ASIC)上实施 (如果运样期望的话)。当利用软件来实施时,可W将该软件存储在任何计算机可读存储器 中,比如存储在磁盘、激光盘、光盘或者其它存储介质上,存储在计算机或处理器的RAM或 ROM中等等。同样,可W经由任何已知的或者期望的传输方法,将该软件传送给用户或者过 程控制系统,例如其包括:通过计算机可读盘或者其它可传输计算机存储机制来传送,或者 在诸如电话线、互联网等等之类的通信信道上进行调制。
[0067] 因此,虽然参照特定的示例来描述了本发明,其中运些特定的示例仅仅旨在是示 例性的,而不是对本发明进行限制,但对于本领域普通技术人员来说显而易见的是,在不脱 离本发明的精神和保护范围的基础上,可W对所公开的实施例进行改变、增加或者删除。
【主权项】
1. 一种在具有多个网络节点的通信网络中使用的异常检测系统,所述多个网络节点通 过通信链路来通信地耦合,所述异常检测系统包括: 多个消息模块,其中所述多个消息模块中的每一个消息模块在所述网络节点中的一个 网络节点处的处理器上执行,以检测所述网络节点处的消息业务,并生成关于所述网络节 点处的所述消息业务的元数据; 分析引擎,所述分析引擎存储在耦合到所述通信网络的处理设备中并在所述处理设备 处被执行,所述分析引擎包括: 元数据存储器, 控制器,其在所述处理设备的处理器上进行执行以从所述多个消息模块接收关于所述 网络节点中的每一个网络节点的所述元数据,并将所接收的元数据存储在所述元数据存储 器中, 规则数据库,其存储逻辑规则集, 规则引擎,其在所述处理设备的处理器上进行执行,以使用所述规则数据库中所存储 的所述逻辑规则来对所述元数据存储器中所存储的所述元数据进行处理,以检测所述通信 网络中的业务模式异常,以及 通知模块,其在所述处理设备的处理器上进行执行,以向用户发送表示检测到的异常 的通知。2. 根据权利要求1所述的异常检测系统,其中,所述分析引擎还包括元数据基线数据 库,所述元数据基线数据库在基线时间段期间,存储关于在所述通信网络的操作期间针对 所述通信网络所采集的元数据的基线信息,并且其中所述规则引擎在所述处理设备的处理 器上进行执行,以使用所述规则数据库中所存储的所述逻辑规则和所述元数据基线数据库 中所存储的所述基线信息来对所述元数据存储器中所存储的所述元数据进行处理,以检测 所述通信网络中的业务模式异常。3. 根据权利要求2所述的异常检测系统,还包括: 存储在耦合到所述通信网络的另外处理设备中的配置改变检测模块,所述配置改变检 测模块在所述另外的处理设备的处理器上进行执行以检测所述通信网络的所述配置的配 置改变,并向所述分析引擎发送表示检测到的配置改变的通知。4. 根据权利要求3所述的异常检测系统,其中,所述分析引擎的所述控制器基于所述检 测到的配置改变来改变所述规则数据库中的逻辑规则。5. 根据权利要求4所述的异常检测系统,其中,所述控制器在改变所述规则数据库中的 逻辑规则之前,从用户接收新的逻辑规则。6. 根据权利要求4所述的异常检测系统,其中,所述控制器基于配置改变的类型来改变 逻辑规则。7. 根据权利要求4所述的异常检测系统,其中,配置改变检测模块向所述分析引擎传输 配置改变的类型。8. 根据权利要求4所述的异常检测系统,其中,所述分析引擎的控制器响应于所述检测 到的配置改变,在所述元数据数据库中采集针对所述通信网络的新的基线元数据集合,并 且所述控制器根据所述新的基线元数据集合来生成新的基线信息集合,以便所述通信网络 利用新配置来运行。9. 根据权利要求3所述的异常检测系统,其中,所述配置改变检测模块存储在配置数据 库中。10. 根据权利要求2所述的异常检测系统,其中,所述元数据基线数据库存储一个或多 个元数据参数,其中所述一个或多个元数据参数反映所述逻辑规则中的一个或多个逻辑规 则在使用所述元数据存储器中存储的所述元数据来检测异常时将使用的限制或范围。11. 根据权利要求1所述的异常检测系统,其中,所述规则引擎是学习引擎。12. 根据权利要求1所述的异常检测系统,其中,所述通知模块在处理器上进行执行,以 设置所述通信网络的一个或多个网络节点中的通信参数。13. 根据权利要求12所述的异常检测系统,其中,所述通知模块进行执行以设置防止所 述通信网络中的所述一个或多个网络节点中的一个网络节点在所述通信网络上进行通信 的通信参数。14. 根据权利要求12所述的异常检测系统,其中,所述通知模块进行执行以设置防止所 述通信网络中的一个或多个网络节点与另一个网络进行通信的通信参数。15. 根据权利要求12所述的异常检测系统,其中,所述通知模块进行执行以设置防止所 述通信网络中的所述一个或多个网络节点中的一个网络节点允许特定的应用在所述通信 链路上进行通信的通信参数。16. 根据权利要求12所述的异常检测系统,其中,所述通知模块进行执行以设置防止所 述通信网络的所述一个或多个网络节点中的一个网络节点在所述通信链路上传输特定类 型的消息的通信参数。17. 根据权利要求1所述的异常检测系统,其中,所述分析引擎位于在所述网络节点中 一个网络节点处的并且直接连接到所述通信网络的所述通信链路的处理设备中。18. 根据权利要求1所述的异常检测系统,其中,所述分析引擎位于未直接地连接到所 述通信网络的所述通信链路的处理设备中。19. 根据权利要求1所述的异常检测系统,其中,所述多个消息模块中的至少一个消息 模块位于所述通信网络的子网络中的处理设备中。20. 根据权利要求1所述的异常检测系统,其中,所述消息模块中的一个消息模块布置 在耦合到一个或多个现场设备以控制过程或工业工厂的过程控制器设备中。21. 根据权利要求1所述的异常检测系统,其中,所述消息模块中的每一个消息模块都 包括进入消息模块,所述进入消息模块对在网络节点处经由所述通信链路接收的消息进行 分析。22. 根据权利要求1所述的异常检测系统,其中,所述消息模块中的每一个消息模块都 包括外出消息模块,所述外出消息模块对来自网络节点的、在所述通信链路上发送的消息 进行分析。23. 根据权利要求1所述的异常检测系统,其中,所述通知模块经由所述通信网络的所 述通信链路来发送所述通知。24. -种在工厂环境下使用的异常检测系统,包括: 通信网络,其包括多个网络节点,所述多个网络节点中的每一个网络节点都具有处理 器和计算机可读存储器,所述多个网络节点通过通信链路进行互连; 多个消息模块,其中所述多个消息模块中的每一个消息模块在所述网络节点中的不同 网络节点处的所述处理器上进行执行,以检测所述网络节点处的消息业务,并生成关于所 述网络节点处的所述消息业务的元数据; 通信耦合到所述多个消息模块中的每一个消息模块的分析引擎,其中所述分析引擎在 耦合到所述通信网络的处理设备上进行执行,所述分析引擎包括: 元数据存储器, 控制器,其在所述处理设备的处理器上进行执行,以从所述多个消息模块接收关于所 述网络节点中的每一个网络节点的所述元数据,并将所接收的元数据存储在所述元数据存 储器中, 规则数据库,其存储逻辑规则集, 规则引擎,其在所述处理设备的处理器上进行执行,以使用所述规则数据库中所存储 的所述逻辑规则来对所述元数据存储器中所存储的所述元数据进行处理,以检测所述通信 网络中的业务模式异常,以及 通知模块,其在所述处理设备的处理器上执行,以发送表示检测到的异常的通知。25. 根据权利要求24所述的异常检测系统,还包括: 在耦合到所述通信网络的另外处理设备中存储的配置改变检测模块,所述配置改变检 测模块在所述另外的处理设备的处理器上进行执行以检测所述通信网络的所述配置的配 置改变,并向所述分析引擎发送表示检测到的配置改变的通知。26. 根据权利要求25所述的异常检测系统,其中,所述配置改变检测模块向所述分析引 擎传输配置改变的类型。27. 根据权利要求25所述的异常检测系统,其中,所述分析引擎的所述控制器响应于所 述检测到的配置改变,在所述元数据数据库中采集针对所述通信网络的新的基线元数据集 合,并且所述控制器根据所述基线元数据集合来生成基线信息集合,以便所述通信网络利 用新配置来运行,并且其中所述规则引擎使用所述基线信息集合来实施所述逻辑规则以检 测异常。28. 根据权利要求25所述的异常检测系统,其中,所述配置改变检测模块存储在连接到 所述通信链路的配置数据库中。29. 根据权利要求25所述的异常检测系统,其中,所述配置改变检测模块存储在未直接 地连接到所述通信链路的处理设备中。30. 根据权利要求24所述的异常检测系统,其中,所述分析引擎还包括元数据基线数据 库,所述元数据基线数据库在基线时间段期间,存储关于在所述通信网络的操作期间针对 所述通信网络所采集的元数据的基线信息,并且其中所述规则引擎在所述处理设备的处理 器上进行执行,以使用所述规则数据库中存储的所述逻辑规则和所述元数据基线数据库中 存储的所述基线信息来对所述元数据存储器中存储的所述元数据进行处理,以检测所述通 信网络中的业务模式异常。31. 根据权利要求30所述的异常检测系统,其中,所述元数据基线数据库存储一个或多 个元数据参数,其中所述一个或多个元数据参数反映所述逻辑规则中的一个或多个逻辑规 则在使用所述元数据存储器中存储的所述元数据来检测异常时将使用的限制或范围。32. 根据权利要求24所述的异常检测系统,其中,所述通知模块在所述处理设备的处理 器上进行执行,以设置所述通信网络的一个或多个网络节点中的通信参数。33. 根据权利要求32所述的异常检测系统,其中,所述通知模块进行执行以设置防止所 述通信网络的所述一个或多个网络节点中的一个网络节点在所述通信链路上进行通信的 通信参数。34. 根据权利要求24所述的异常检测系统,其中,所述分析引擎位于在所述网络节点中 的一个网络节点处的并且直接连接到所述通信网络的所述通信链路的处理设备中。35. 根据权利要求24所述的异常检测系统,其中,所述多个消息模块中的至少一个消息 模块位于所述通信网络的子网络中的处理设备中。36. -种在具有多个网络节点的工厂通信网络中执行异常检测的方法,所述多个网络 节点通过通信链路进行互连,所述方法包括: 使用所述多个网络节点中的两个或更多网络节点中的每一个网络节点处的处理器来 对所述多个网络节点中的所述两个或更多网络节点处的消息业务进行分析,以生成关于所 述多个网络节点中的所述两个或更多网络节点中每一个网络节点处的所述消息业务的元 数据; 用电子方法将所生成的元数据从所述多个网络节点中的所述两个或更多网络节点的 每一个网络节点发送给分析引擎,所述分析引擎位于耦合到所述通信网络的计算机处理设 备中; 将来自所述多个网络节点中的所述两个或更多网络节点中的每一个网络节点的所述 元数据存储在所述计算机处理设备处的计算机可读存储器上; 将基线元数据参数集存储在所述计算机处理设备处的计算机可读存储器中; 使用所述计算机处理设备处的处理器、利用逻辑规则集和所存储的基线元数据参数来 分析所述分析引擎对所存储的元数据,以判断在所述通信网络的所述网络节点中的一个或 多个处的所述业务模式中是否存在异常;以及 当在所述通信网络的所述网络节点中的一个或多个网络节点处的所述业务模式中检 测到异常时,执行用于纠正所述业务模式中的所述异常的动作。37. 根据权利要求36所述的方法,其中,发送所生成的元数据包括:通过所述通信链路, 从所述多个网络节点中的所述两个或更多网络节点向所述分析引擎发送所生成的元数据。38. 根据权利要求36所述的方法,还包括: 检测所述通信网络的所述配置的配置改变,并向所述分析引擎发送表示检测到的配置 改变的通知。39. 根据权利要求38所述的方法,还包括: 基于所述检测到的配置改变,改变用来对所存储的元数据进行分析的所述逻辑规则中 的一个逻辑规则。40. 根据权利要求38所述的方法,还包括: 向所述分析引擎传输所检测到的配置改变的类型,并基于配置改变的所述类型来改变 用来对所存储的元数据进行分析的所述逻辑规则中的一个。41. 根据权利要求38所述的方法,还包括: 响应于对配置改变的检测,在所述配置改变之后,基于所述通信网络的操作来采集新 的元数据集,并根据所述新的元数据集来生成新的基线元数据参数集,以便所述分析引擎 在对来自所述通信网络中的所述网络节点的一个或多个的元数据进行分析时使用。42. 根据权利要求36所述的方法,还包括: 在直接地连接到所述通信网络的所述通信链路的计算机设备的处理器上执行所述分 析步骤。43. 根据权利要求36所述的方法,其中,执行用于纠正所检测到的异常的动作包括:向 用户发送表示所述检测到的异常的通知。44. 根据权利要求36所述的方法,其中,执行用于纠正所检测到的异常的动作,包括:防 止所述通信网络中的所述网络节点中的一个网络节点在所述通信链路上进行通信。45. 根据权利要求36所述的方法,其中,执行用于纠正所检测到的异常的动作,包括:防 止所述通信网络中的所述网络节点中的一个网络节点允许特定的应用在所述通信链路上 进行通{目。46. 根据权利要求36所述的方法,其中,执行用于纠正所检测到的异常的动作,包括:防 止所述通信网络中的所述网络节点里的一个网络节点在所述通信链路上传输特定类型的 消息。47. 根据权利要求36所述的方法,其中,对所述多个网络节点中的所述两个或更多网络 节点里的一个网络节点处的消息业务进行分析,包括:对所述多个网络节点中的所述两个 或更多网络节点中的一个所述网络节点的多个子节点中的每一个子节点处的消息业务进 行分析,并针对所述多个子节点中的每一个子节点处的所述消息业务来生成元数据。
【文档编号】H04L29/06GK105939334SQ201610124522
【公开日】2016年9月14日
【申请日】2016年3月4日
【发明人】R·A·米克瑟, G·K·劳, A·E·卡特钦
【申请人】费希尔-罗斯蒙特系统公司